網(wǎng)絡安全公司Sucuri近日發(fā)現(xiàn)，網(wǎng)絡犯罪分子在虛假防垃圾WordPress插件“X-WP-SPAM-SHIELD-PRO”的源代碼內(nèi)隱藏PHP后門，偽裝成安全工具竊取用戶數(shù)據(jù)。

攻擊者顯然是在試圖利用合法WordPress插件“WP-SpamShield Anti-Spam”發(fā)起攻擊。

黑客開發(fā)虛假WordPress安全插件植入后門感染用戶-E安全

下載“X-WP-SPAM-SHIELD-PRO”的用戶會被后門感染，攻擊者可在用戶網(wǎng)站創(chuàng)建自己的管理賬號，將文件上傳到受害者的服務器上，禁用所有插件等。

利用安全插件傳送后門

所有惡意行為通過這個虛假插件的文件傳播，例如：

class-social-facebook.php——偽裝成社交媒體垃圾郵件防護工具，但其中的代碼會將用戶的插件列表發(fā)送給攻擊者，并隨意禁用所有插件。禁用所有插件是為關閉其它阻止非授權登錄訪問或檢測非授權登錄的安全插件。

class-term-metabox-formatter.php——將用戶的WordPress版本的發(fā)送給攻擊者。

class-admin-user-profile.php——向所有WordPress管理用戶名單發(fā)送給攻擊者

plugin-header.php——添加名為“mw01main”的管理用戶。

wp-spam-shield-pro.php——Ping mainwall.org上的黑客服務器，當新用戶安裝虛假插件時通知攻擊者。文件發(fā)送的數(shù)據(jù)包括用戶、密碼、被感染的網(wǎng)址和服務器IP地址。

后一個文件還包含一段代碼，允許攻擊者將ZIP壓縮包上傳至受害者網(wǎng)絡，解壓并運行其中的文件。

建議用戶使用WordPress官方插件庫

Sucuri公司表示，這款插件未出現(xiàn)在官方WordPress插件庫中，而是在其它地方提供下載來源。該插件誘使用戶擔心自己的網(wǎng)站安全，而事實上確是攻擊者下的套。專家建議WordPress用戶僅安裝官方插件庫的插件。